On a failli attendre : la certification cloud et la transposition NIS2 avancent

Published 5 months ago • 8 min read

La tech est politique

L'Europe du numérique pour décideur pressé

Et une bonne journée à vous ☕

Pour cette édition inaugurale de La tech est politique, on s'intéresse au schéma européen pour la sécurité du cloud et à la transposition de la directive NIS2 en France. Chaque texte à sa façon nous a fait poireauter et demande de l'attention.

💌 Des questions, un commentaire ou des secrets à partager ? hello@tech-est-politique.eu

Cette édition compte 1 818 mots, soit 10 minutes de temps de lecture.

La patate chaude : La "souveraineté des données" sortirait du schéma européen de certification cloud (EUCS)

Le sujet un peu chaud de la quinzaine est la possible suppression de l'exigence de "souveraineté des données" dans le schéma EUCS. Ce dernier concerne la confiance que l'on peut avoir dans les fournisseurs cloud. Ainsi, si la proposition de modification est acceptée, la localisation des données n'aurait plus d'importance pour accéder à la certification européenne.

Pourquoi c'est important. La proposition de compromis permettrait de sortir de l'impasse politique où est actuellement coincé le schéma de certification. L'esprit de la proposition est essentiellement de laisser la décision de l'emplacement des dépôts des données au client plutôt que de l'inclure dans le schéma technique de certification. Ainsi, le schéma incluerait l'exigence pour le fournisseur certifié de devoir indiquer publiquement et de façon compréhensible où voyagent les données pour permettre aux clients de faire des décisions informées.

😉 Entre les lignes : Si acceptée, la proposition signifie que :

  • un fournisseur de cloud dont le datacentre est en Chine, par exemple, pourra obtenir une conformité EUCS ;
  • l'EUCS n'exigerait plus une co-entreprise entre fournisseurs européens et non-européens comme prérequis pour obtenir la certification.

🧭 The big picture: L'exigence imposant aux fournisseurs cloud prétendant à la certification d’être installés en Europe n'est pas anodine. Elle limiterait évidemment la présence de fournisseurs américains (e.g. Microsoft Azure, AWS, Google Cloud) chez les acteurs européens devant respecter de fortes contraintes liées au stockage et traitement de leurs données. Par ricochet, cela favoriserait des fournisseurs européens aujourd'hui quelque peu délaissés au profit de leurs concurrents américains.

Pourquoi c'est à l'ordre du jour. Un tel compromis permettrait de finaliser le schéma EUCS et de poursuivre la transformation du marché unique numérique en matière de cloud. Rappels utiles 👇

Les exigences de localisation du traitement et du stockage imposés par l'EUCS (European Cybersecurity Certification Scheme for Cloud Services) sont à voir comme une immunité contre l'extraterritorialité — notamment celle du CLOUD Act américain. Ce dernier fait ainsi craindre que le judiciaire américain puisse facilement saisir des données d'entreprises européennes si celles-ci utilisent un fournisseur américain de cloud. Avec des exigences de localisation des données, l'adoption du cloud fourni par des acteurs européens favoriserait le développement de champions européens et, plus largement, le marché unique européen du numérique progresserait, au dépens de celui des acteurs américains et chinois.

L'EUCS, plus largement, vise à fournir un cadre unifié de certification volontaire de sécurité pour les fournisseurs de solutions cloud opérant sur le territoire européen. Son but principal est de renforcer la confiance dans les services cloud en fournissant une certification de sécurité des données harmonisée à travers l'Europe. Ainsi, grâce à l'EUCS, un fournisseur français pourrait facilement être approché par un client néérlandais, chose aujourd'hui complexe avec les schémas nationaux tels SecNumCloud qui sont illisibles pour les acteurs hors France.

L'EUCS est aussi le schéma de certification européen le plus politique : depuis plus de deux ans, la France et les Pays-Bas notamment avaient bloqué les travaux d'élaboration car n'arrivant pas à s'aligner sur des exigences. Sans surprise, la France cherchait à promouvoir une version européenne de SecNumCloud avec des exigences fortes en matière de localisation des données au sein de l'UE (la fameuse souveraineté). Les Pays-Bas, entre autres, étaient bien plus relax sur le sujet, souhaitant que soit indiquée la jurisdiction sous laquelle le fournisseur cloud tomberait, sans aller jusqu'à imposer un stockage en Europe.

Et maintenant ? Sans surprise, un ensemble des "contre" s'est exprimé pour dire le mal qu'ils pensent de ce compromis belge. Les "pour", parmi lesquels beaucoup de fournisseurs américains, y sont allés de leur soutien à la proposition.

  • Le groupe de travail dédié, l'ECCG, s'est réuni ce lundi 15 avril pour en discuter.
  • La Commission doit aussi fournir son analyse juridique de la proposition belge avant fin avril.

En approche : La transposition de la Directive NIS2

La Directive NIS2 vise à renforcer la cybersécurité dans l'ensemble des États membres de l'UE. Elle doit être transposée au plus tard le 17 octobre prochain. Les travaux ont déjà débuté (j'ai été auditionnée par la CSNP sur le sujet), et leur tournure exige une attention accrue de la part de nous toutes et tous, qu'on soit pros de la cybersécurité ou décideur au sein d'une organisation visée par NIS2. Notamment, la typologie d'organisation ciblées et les coûts de mise en conformité apparaissent des éléments de choix à discuter ici aujourd'hui.

Pourquoi c'est important. L'approche de transposition se retrouve dans le projet de loi "résilience" (PJL Résilience en bref). Le PJL Résilience permettrait au gouvernement de désigner comme entité essentielle une organisation dont la perturbation du service constitue un risque systémique important. Contrairement à la Directive NIS2, les effectifs et le chiffre d’affaires annuel ne seraient pas des critères limitants en France.

Ainsi, on s'oriente vers 15 000 entités assujetties en France et vers un nombre de secteurs régulés passant de 6 à 18. Le public n'est pas épargné : 661 collectivités territoriales ou groupements de collectivités territoriales devraient être concernés au titre des entités essentielles ; 992 communautés de communes de métropole et d’outre-mer seraient assujetties en tant qu'entités importantes (i.e., soumises à des exigences moins strictes que les entités essentielles).

On vous offre notre guide NIS2

Pour découvrir et comprendre les exigences principales de sécurité introduites par la Directive NIS2.

Je télécharge le PDF

L’ampleur des entités et secteurs d’activités concernés s’explique en grande partie par l'ambition d’assurer une articulation entre trois grands cadres réglementaires européens. Ainsi, le PJL Résilience aborde :

  • la résilience des activités d’importance vitale par l’angle sûreté physique s’appuyant sur la directive REC (Résilience des entités critiques) ;
  • la cybersécurité des organisations dont l’activité importe pour la survie et la prospérité de la France s’appuyant sur la directive NIS2 ;
  • et, enfin, la résilience opérationnelle numérique du secteur financier s’appuyant sur le règlement DORA.

Les PJL présente donc un dispositif complexe que viendront préciser 19 décrets d’application.

En tout état de cause, une exigence claire émerge : ces organisations devront impérativement alerter l’autorité nationale (l’ANSSI en l’occurrence) de tout incident ayant un "impact important" sur la fourniture de leur service. Le PJL Résilience est aussi assez gourmand, exigeant qu’une telle notification se fasse immédiatement (le délai est de 24 heures dans NIS2). L’ANSSI pourrait même exiger une communication publique à propos de l’incident si elle estime que l’intérêt public le justifie et ce, même si l’entité touchée est opposée à cette révélation.

Pourquoi ouvrir l'oeil. Le projet de loi de transposition prévoit une augmentation significative du type d'organisations assujetties et interroge sur les coûts du chantier.

😉 Entre les lignes : Certaines PME et startups du numérique pourraient se retrouver parmi les entités assujetties aux mêmes mesures de cybersécurité et obligations de notifications d'incidents que les opérateurs télécoms ou encore les grands acteurs de l'énergie. Les difficultés pour ces organisations, dont la maturité laisse souvent à désirer, ne tarderont pas à émerger. Cette diversification d'entités à surveiller risque aussi de poser un défi de taille à l'ANSSI. Cette dernière est plutôt habituée à échanger avec des organismes d'importance vitale, dont la longévité, la taille et les ressources diffèrent profondément de ce qu'on voit chez des startups et des PME. Le défi pour l'ANSSI serait donc en termes de culture et de capacités pour pouvoir être au bon niveau face à un ensemble aussi hétérogène.

🧭 The big picture: Toutes les structures concernées devront investir pour améliorer leur niveau de cybersécurité. Les coûts ne sont pas encore évalués, ce travail relevant de la future étude d’impact annexée au projet de loi. Pour l'instant, une note co-rédigée par l'ANSSI estime à 400 000€ le coût moyen de mise en conformité pour chaque entité, quelle qu’elle soit. Il n'y a pas d'élément détaillant comment le calcul est fait. Toujours est-il que la douloureuse nécessiterait des subventions, notamment pour le public. En partant de tels chiffres, la note indique qu'"une subvention moyenne de 25 % pour les collectivités territoriales supposerait un budget global triennal de 60 millions €/an". Ajoutées aux diverses aides qui existent déjà au niveau régional, on pourrait craindre le développement d'une cybersécurité sous perfusion.

Et maintenant ? Les efforts des différentes parties prenantes se poursuivent, et le calendrier risque de s'accélérer :

  • Le projet de loi est encore susceptible de bouger après son passage en interministériel. Les auditions auprès de la CSNP continuent.
  • La date d'arrivée du projet de loi à l'Assemblée nationale reste inconnue. Une fois cette date fixée, les choses iront vite : l'objectif serait que le texte soit adopté avant l'été (avant les vacances et les JO donc).
  • Vous recevrez une brève note analytique (et critique) sur les orientations actuelles du projet de loi de transposition dans deux semaines.

Le chiffre qui compte

10 000€

Il s'agit de l'aide maximale pour les PME pouvant être octroyée par la Région Île-de-France. Le montant atteint 2 500€ pour les TPE.

Ce Chèque Cyber peut aider les TPE et PME à s'équiper en outils ou encore à lancer des démarches de mise en conformité et d'amélioration de la maturité de sécurité.

Voyager, c'est vivre : découvrons l'Europe ensemble

Je vous présente la forteresse Baba Vida, datant en l'état du 10e siècle. En réalité, une fortification existait déjà, construite par les Romains. Elle est située dans la ville de Vidin, en Bulgarie, et surplombe le Danube, ouvrant un paysage superbe sur le fleuve et la Roumanie en face. Baba Vida était le dernier rempart bulgare face aux Ottomans, tenant bon pendant plus de deux ans. Elle est tombée en 1396, marquant ainsi le début du joug ottoman sur le pays.

🧭

Les dossiers et guides

Relire pour anticiper →

📅

Les dates qui comptent

L'agenda des co-législateurs →

📘

Les précis de la résilience

En partenariat avec Cyberzen →

Ce message a été envoyé à Reader. Vous recevez ce mail car vous vous êtes abonné à La tech est politique.

La tech est politique est faite avec amour et café par RS Strategy, le seul cabinet où l'expertise opérationnelle du numérique et de la cybersécurité rencontre la fabrique de la loi au niveau européen. Comme vous le savez peut-être déjà, cette veille est un aperçu de ce que nous voyons au quotidien. Notre rôle est de vous accompagner dans les décisions, les projets et la stratégie de votre développement dans un monde numérique. Ça vous intéresse ?

28 cour Alber 1er, Paris, IdF 75008
Unsubscribe · Preferences

Subscribe to La tech est politique